Моделирование каналов несанкционированного доступа к информации

Из сил воздействия на носитель информации наибольшие уг­розы могут создать злоумышленники и пожар. Они образуют кана­лы несанкционированного доступа к информации. Поэтому моде­лирование этих каналов предусматривает:

•моделирование каналов несанкционированного доступа зло­умышленника к защищаемой информации;

•моделирование каналов несанкционированного доступа сти­хийных сил.

Действия злоумышленника по добыванию информации, так же как других материальных ценностей, определяются поставлен­ными целями и задачами, его мотивами, квалификацией и техни­ческой оснащенностью. Так же как в криминалистике расследова­ние преступления начинается с ответа на вопрос, кому это выгод­но, так и при моделировании системы защиты необходимо, прежде всего, выяснить с максимально возможной достоверностью, кому нужна защищаемая информация.

Следует отметить, что прогнозирование источников угрозы информации является одним из основных условий ее эффектив­ной защиты. При достаточно высокой достоверности прогноза со­здается запас времени для предотвращения угроз не только ме­тодами защиты источников, но и воздействия на источник угро­зы. Например, можно договориться с конкурентом или, при нали­чии фактов его противоправных действий, потребовать от него их прекращения под угрозой предания гласности фактов наруше­ний.

Источники угрозы информации можно условно разделить на 4 группы:

•сотрудники (агенты) зарубежных спецслужб;

•конкуренты на рынке и в борьбе за власть;

•криминальные элементы;

•сотрудники организации, пытающиеся добыть и продать ин­формацию по собственной инициативе или завербованные за­рубежной разведкой, конкурентом или криминалом.

Сотрудники спецслужб (агенты) характеризуются высокой профессиональностью и технической оснащенностью. Оперативно-технические характеристики используемых ими технических средств часто превосходят характеристики средств, имеющихся на рынке.

Руководители коммерческих структур привлекают для добы­вания информации о своих конкурентах уволившихся сотрудников силовых ведомств и используют имеющиеся на рынке технические средства. В среднем квалификация этих злоумышленников и воз­можности применяемых ими технических средств ниже.

Криминал привлекает для решения рассматриваемых задач или уволенных за низкие моральные качества и правонарушения, или уволившихся «обиженных» бывших сотрудников спецслужб. Квалификация этих злоумышленников, как правило, достаточно высокая, а используемые ими технические средства присутствуют на рынке. Однако если спецслужбы и конкуренты проводят раз­ведывательную операцию скрытно, то криминал может пойти на силовое проникновение с использованием стрелкового оружия и взрывчатых веществ.

Слабая квалификация сотрудников организации частично компенсируется возможностью более простого проникновения их к источнику информации. Завербованный сотрудник организации может получить инструкции по маршруту и способам проникно­вения, необходимые технические средства или деньги на их при­обретение.

В зависимости от квалификации, способов подготовки и про­никновения в организацию злоумышленников разделяют на сле­дующие типы:

• неквалифицированный, который ограничивается внешним ос­мотром объекта, проникает в организацию через двери и окна;

• малоквалифицированный, изучающий систему охраны объ­екта и готовящий несколько вариантов проникновения, в томчисле путем взлома инженерных конструкций;

• высококвалифицированный, который тщательно готовится к проникновению, выводит из строя технические средства ох­раны, применяет наиболее эффективные способы и маршруты
проникновения и отхода.

Моделирование угроз информации с учетом квалификации злоумышленника обеспечивает экономию ресурса на защиту ин­формации в том случае, если удается с достаточно большой достоверностью определить источник угрозы. В противном случае во избежание грубых ошибок в условиях отсутствия информации о злоумышленнике, его квалификации и технической оснащенности лучше переоценить угрозу, чем ее недооценить, хотя такой подход и может привести к увеличению затрат на защиту. В этом случае целесообразен при моделировании угроз информации следующий подход к формированию модели злоумышленника:

•злоумышленник представляет серьезного противника, тщательно готовящего операцию по добыванию информации;

•он изучает обстановку вокруг территории организации, наблю­даемые механические преграды, средства охраны, телевизион­ного наблюдения и дежурного (ночного) освещения, а также со­
трудников с целью добывания от них информации о способах и средствах защиты;

•намечает варианты и проводит анализ возможных путей про­никновения к источникам информации и ухода после выполне­ния задачи;

•имеет в распоряжении современные технические средства про­никновения и преодоления механических преград.

При моделировании действий квалифицированного злоумыш­ленника необходимо также исходить из предположения, что он хо­рошо представляет современное состояние технических средств за­щиты информации, типовые варианты их применения, слабые мес­та и «мертвые» зоны диаграмм направленности активных средств охраны.

Для создания модели угрозы физического проникновения, до­статочно близкой к реальной, необходимо «перевоплотиться» в злоумышленника и смоделировать операцию проникновения за него. Для моделирования угроз целесообразно привлекать в качес­тве «злоумышленников» опытных сотрудников службы безопас­ности, не участвующих в моделировании объектов охраны и до­пущенных к обобщенной информации о способах и средствах ох­раны организации. Использование в качестве экспертов сотрудни­ков других структурных подразделений недопустимо, так как это может привести к утечке ценной информации. «Злоумышленник» должен выявить на основе данных 1-го этапа организации защиты «слабые места» в существующей системе охраны и определить воз­можные маршруты его движения к месту нахождения источника.

Чем больше при этом будет учтено факторов, влияющих на эффек­тивность проникновения, тем выше адекватность модели.

Маршруты движения обозначаются на соответствующих пла­нах модели объектов охраны. Так как моделирование основывается на случайных событиях, то целесообразно наметить несколько ва­риантов проникновения.

Основными элементами путей проникновения могут быть:

•естественные (ворота, двери КПП);

•вспомогательные (окна, люки, коммуникационные каналы, тун­нели, пожарные лестницы);

•специально создаваемые (проломы, подкопы, лазы).

Варианты проникновения могут также существенно отличать­ся и проводиться:

•скрытно или открыто;

•без использования или с использованием специальных приспо­соблений;

•без использования или с использованием силовых методов нейтрализации охраны.

Возможность реализации угрозы проникновения злоумыш­ленника к источнику информации оценивается произведением ве­роятностей двух зависимых событий: безусловной вероятностью попытки к проникновению и условной вероятностью преодоления им всех рубежей на пути движения его от точки проникновения до места непосредственного контакта с источником информации — вероятностью проникновения.

Вероятность попытки добыть информацию, в том числе пу­тем проникновения к источнику, зависит от соотношения цены до­бытой информации и затрат злоумышленника на ее добывание. Вероятность принятия злоумышленником решения на проникнове­ние близка к нулю, если цена информации меньше или соизмерима с затратами на ее приобретение. При превышении цены над затратами эта вероятность возрастает. Так как вероятность не может превысить 1, то зависимость вероятности попытки несанкционированного до­ступа злоумышленника от соотношения цены информации С_ци над затратами С_зз можно аппроксимировать выражениями: Р_в = 0 при условии С 7с < 1 и Р = 1 - ехр(1- а С / С), если С 7 С > 1,

где а_в — коэффициент, учитывающий степень роста зависимости вероятности Р_в от соотношения С _|( / С.

Такая математическая модель достаточно хорошо согласует­ся с логикой принятия решения злоумышленником на осущест­вление операции по добывании информации. Действительно, ког­да С < С, то Р_в ~ 0, затем при увеличении этого соотношения бо­лее 1 вероятность попытки проникновения сначала медленно, а за­тем более существенно возрастает, а при существенном росте соот­ношение цены и затрат монотонно приближается к 1.

Вероятность проникновения к источнику информации при условии принятия решения злоумышленником на проведение операции (возникновения угрозы) зависит от уровня защищен­ности источника информации, времени реакции сил нейтрали­зации, квалификации злоумышленника и его технической осна­щенности. В интегральном виде эта вероятность определяется вероятностями обнаружения Р_оз и необнаружения Р_|и вторжения злоумышленника системой защиты информации и соотношением времени задержки злоумышленника т_и и времени реакции систе­мы защиты т. Так как при т «т вероятность проникновения близка к 1, а при противоположном соотношении времен близка к 0, то вероятность проникновения злоумышленника р_пз в первом приближении удобно аппроксимировать экспоненциальной фун­кцией Р_пз = Р_из + Р_озехр(- Р_пзт_зз / т_рс), где (З_пз — коэффициент, учиты­вающий уровень защищенности организации.

С учетом этих моделей вероятность угрозы воздействия мож­но оценить по формуле:

Р =Р -Р =[1-ехр(-а С /С)][Р +Р ехр(-р т /т)]

при С /С > 1.

Более точные результаты могут быть получены в результате моделирования проникновения. Для моделирования проникнове­ния целесообразно использовать аппарат видоизмененных семан­тических сетей. Семантическая сеть представляет собой граф, узел которого соответствует одному из рубежей и одной из контролиру­емых зон организации, а ребро — вероятности и времени перехо­да источника угрозы из одного рубежа (зоны) в другой (другую). Для наглядности целесообразно узел — рубеж представить в виде кружка, а узел — зону — в виде прямоугольника. В свою очередь рубеж и зона могут находиться в разных состояниях. Рубеж может быть открытым (состояние 0), закрытым без включения тех­нических сигнализации (состояние 1) и закрытым с включенными средствами сигнализации (состояние 2). Например, дверь в рабо­чее время может быть открытой или закрытой, во внерабочее вре­мя — закрытой с подключением охранной сигнализации. Зона как часть пространства с контролируемым уровнем безопасности мо­жет быть свободной для прохода и проезда (состояние 0) и закры­той (с включенными средствами охраны)— состояние 1. Пример моделей каналов несанкционированного доступа источника угро­зы в выделенное помещение показан на рис. 27.2.

Как следует из рисунка, существует множество путей перехо­да из нулевого состояния в конечное с разными вероятностями и временами задержками. Каждый путь характеризуется значения­ми вероятности и времени проникновения. Вероятность проникно­вения по i-му пути равна произведению вероятностей всех n про­межуточных переходов по этому пути. Время задержки равно сум­ме задержек на каждом переходе. Чем выше вероятность и меньше время, тем выше величина угрозы.

Учитывая, что злоумышленник будет выбирать путь с лучши­ми для решения своей задачи параметрами — с большей вероят­ностью и меньшим временем проникновения, то угрозы ранжиру­ются по этим параметрам. Если один из путей имеет большую ве­роятность, но меньшее время проникновения, то при ранжирова­нии возникнет проблема выбора. Для ее решения необходимо два показателя свести к одному. В качестве такого глобального пока­зателя можно использовать не имеющее физического смысла от­ношение времени задержки и вероятности проникновения по рас­сматриваемому участку пути. Для такого критерия наибольшую угрозу представляет путь проникновения с меньшими значениями интегрального показателя.

Возможные пути проникновения злоумышленников отмеча­ются линиями на планах (схемах) территории, этажей и помеще­ний зданий, а результаты анализа пути заносятся в таблицу, вари-.ант которой указан в табл. 27.3.

Таблица 27.3

№ источни­ка инфор­мации	Цена ин­формации источника	Путь источника угрозы	Характеристика угрозы	Величина ущерба	Ранг угрозы
§ i &§ S S 5 а а а а, к ж	°* з ж S- К <и <ц О <С О, О, О «Г кГ а:
	2				6	1

Примечание. Под источником угрозы понимается злоумышленник и пожар.

27.3.2. Моделирование каналов утечки информации

Обнаружение и распознавание технических каналов утечки информации, так же как любых объектов, производится по их де­маскирующим признакам. В качестве достаточно общих призна­ков или индикаторов каналов утечки информации могут служить указанные в табл. 27.4.

Таблица 27.4

Вид канала Индикаторы 1 2 Оптический Просматриваемость помещений из окон противополож­ных домов. Близость к окнам деревьев. Отсутствие на окнах занавесок, штор, жалюзей. Просматриваемость содержания документов на столах со сторон окон, дверей, шкафов в помещении. Просматриваемость содержания плакатов на стенах по­мещения для совещания из окон и дверей. Малое расстояние между столами сотрудников в поме­щении. Просматриваемость экранов мониторов ПЭВМ на столах сотрудников со стороны окон, дверей или других сотруд­ников. Складирование продукции во дворе без навесов. Малая высота забора и дырки в нем.

1 2 Переноска и перевозка образцов продукции в открытом виде. Появление возле территории организации (предприятия) посторонних людей (в том числе в автомобилях) с бинок­лями, фотоаппаратами, кино- и видеокамерами. Радиоэлект- Наличие в помещении радиоэлектронных средств, ронный ПЭВМ, ТА городской и внутренней АТС, громкоговори­телей трансляционной сети и других предметов. Близость к жилым домам и зданиям иных организаций. Использование в помещении средств радиосвязи. Параллельная прокладка кабелей в одном жгуте при раз­водке их внутри здания и на территории организации. Отсутствие заземления радио- и электрических приборов. Длительная и частая парковка возле организации чужих автомобилей, в особенности с сидящими в машине людь­ми. Акустичес- Малая толщина дверей и стен помещения кий Наличие в помещении открытых вентиляционных отвер­стий Отсутствие экранов на отопительных батареях Близость окон к улице и ее домам. Появление возле организации людей с достаточно боль­шими сумками, длинными и толстыми зонтами. Частая и продолжительная парковка возле организации чужих автомобилей. Веществен- Отсутствие закрытых и опечатанных ящиков для бумаги ный и твердых отходов с демаскирующими веществами. Применение радиоактивных веществ. Неконтролируемый выброс газов с демаскирующими ве­ществами, слив в водоемы и вывоз на свалку твердых от­ходов. Запись сотрудниками конфиденциальной информации на неучтенных листах бумаги.

Приведенные индикаторы являются лишь ориентирами при поиске потенциальных каналов утечки. В конкретных условиях их состав существенно больший.

Потенциальные каналы утечки определяются для каждого ис­точника информации, причем их количество может не ограничиваться одним или двумя. Например, от источника информации — руководителя фирмы, работающего в своем кабинете, утечка ин­формации возможна по следующим каналам:

•через дверь в приемную или коридор;

•через окно на улицу или во двор;

•через вентиляционное отверстие в соседние помещения;

•с опасными сигналами по радиоканалу;

•с опасными сигналами по кабелям, выходящим из помещения;

•по трубам отопления в другие помещения здания;

•через стены, потолок и пол в соседние помещения;

•с помощью закладных устройств за территорию фирмы.

Моделирование технических каналов утечки информации по существу является единственным методом достаточно полного ис­следования их возможностей с целью последующей разработки способов и средств защиты информации. В основном применяют­ся вербальные и математические модели. Физическое моделирова­ние каналов утечки затруднено и часто невозможно по следующим причинам:

•приемник сигнала канала является средством злоумышленника, его точное месторасположение и характеристики службе бе­зопасности неизвестны;

•канал утечки включает разнообразные инженерные конструкции (бетонные ограждения, здания, заборы и др.) и условия рас­пространения носителя (переотражения, помехи и т. д.), воссо­здать которые на макетах невозможно или требуются огромные расходы.

Применительно к моделям каналов утечки информации целе­сообразно иметь модели, описывающие каналы в статике и дина­мике.

Статическое состояние канала характеризуют структурная и пространственная модели. Структурная модель описывает струк­туру (состав и связи элементов) канала утечки. Пространственная модель содержит описание положения канала утечки в пространс­тве: места расположения источника и приемника сигналов, уда­ленность их от границ территории организации, ориентация век­тора распространения носителя информации в канале утечки ин­формации и ее протяженность. Структурную модель канала целесообразно представлять в табличной форме, пространственную — в виде графа на плане помещения, здания, территории организа­ции, прилегающих внешних участков среды. Структурная и про­странственная модели не являются автономными, а взаимно до­полняют друг друга.

Динамику канала утечки информации описывают функцио­нальная и информационная модели. Функциональная модель ха­рактеризует режимы функционирования канала, интервалы вре­мени, в течение которых возможна утечка информации, а инфор­мационная содержат характеристики информации, утечка которой возможна по рассматриваемому каналу: количество и ценность ин­формации, пропускная способность канала, прогнозируемое качес­тво принимаемой злоумышленником информации.

Указанные модели объединяются и увязываются между собой в рамках комплексной модели канала утечки. В ней указывают­ся интегральные параметры канала утечки информации: источник информации и ее вид, источник сигнала, среда распространения и ее протяженность, место размещения приемника сигнала, риск ка­нала и величина потенциального ущерба. Каждый вид канала со­держит свой набор показателей источника и приемника сигналов в канале, позволяющих оценить длину технического канала утечки информации и показатели возможностей органов государственной и коммерческой разведки.

Так как приемник сигнала является принадлежностью зло­умышленника и точное место его размещения и характеристики не известны, то моделирование канала проводится применитель­но к гипотетическому приемнику. В качестве приемника целесо­образно рассматривать приемник, параметры которого соответс­твуют современному уровню, а место размещения выбрано рацио­нально. Уважительное отношение к интеллекту и техническим воз­можностям противника гарантирует от крупных ошибок в значи­тельно большей степени, чем пренебрежительное.

При описании приемника сигнала необходимо учитывать ре­альные возможности злоумышленника. Очевидно, что приемники сигналов коммерческой разведки не могут, например, размещаться на космических аппаратах. Что касается технических характерис­тик средств добывания, то они для государственной и коммерческой разведки существенно не отличаются. Расположение приемни­ка злоумышленника можно приблизительно определить исходя из условий обеспечения значения отношения сигнал/помеха на вхо­де приемника, необходимого для съема информации с допустимым качеством, и безопасности злоумышленника или его аппаратуры.

Если возможное место размещения приемника сигналов вы­брано, то в ходе моделирования канала рассчитывается энергетика носителя на входе приемника с учетом мощности носителя на вы­ходе источника, затухания его в среде распространения, уровня по­мех, характеристик сигнала и его приемника.

Все выявленные потенциальные каналы утечки информации и их характеристики записываются в табл. 27.5.

Таблица 27.5

Источник информа­ции	Путь утечки ин­формации	Вид ка­нала	Длина канала	Риск утечки	Вели­чина ущерба	Ранг угрозы
			4	5	6
			. t,

В графе 2 указываются основные элементы канала утечки ин­формации (источника сигналов, среды распространения и возмож­ные места размещения приемника сигналов). По физической при­роде носителя определяется вид канала утечки информации, ко­торый указывается в столбце 3. По расстоянию между источни­ком сигнала (информации) и приемником сигнала (получателя) оп­ределяется длина канала, значение которой вписывается в графу столбца 4. Риск утечки информации (столбец 5) по рассматривае­мому каналу оценивается близостью параметров канала и сигна­ла на входе его приемника к нормативным значениям, при кото­рых риск (вероятность) утечки ниже допустимого значения. Он за­висит от совокупности факторов, влияющих на характеристики ка­нала утечки: разрешающей способности приемника сигналов, их энергетики, вероятности выполнения временного условия разве­дывательного контакта средства добывания с источником информации. В зависимости, например, от принадлежности противопо­ложного дома к жилому или административному, из окна которо­го возможно в принципе наблюдение за объектом защиты, сущест­венно различаются оценки реальности использования этого опти­ческого потенциального канала утечки для добывания информа­ции. Если дом жилой, то злоумышленнику под видом сотрудника спецслужбы или за деньги проще договориться с жильцами о сня­тии на определенное время комнаты, чем с руководством организа­ции. При определении реальности канала следует учитывать сте­пень выполнения временного и энергетического условий разведы­вательного контакта с источником информации. Для обеспечения временного контакта надо или знать время проявления демаскиру­ющих признаков объекта или наблюдение должно вестись непре­рывно в течение, например, рабочего дня. Для выполнения энерге­тического условия разведывательного контакта необходимо, чтобы длина канала была больше расстояния от источника информации до злоумышленника или его приемника сигнала.

Моделирование угроз безопасности информации завершается их ранжированием в табл. 27.5.

На каждый потенциальный способ проникновения злоумыш­ленника к источнику информации и канал утечки информации це­лесообразно завести карточку, в которую заносятся в табличной форме характеристики моделей канала. Структурная, пространственная, функциональная и информационная модели являются приложениями к комплексной модели канала утечки. На этапе раз­работки способов и средств предотвращения проникновения зло-, умышленника и утечки информации по рассматриваемому кана­лу к карточке добавляется приложение с перечнем мер по защите и оценками затрат на нее.

Более удобным вариантом является представление моделей на основе машинных баз данных, математическое обеспечение ко­торых позволяет учесть связи между разными моделями, быстро корректировать данные в них и систематизировать каналы по раз­личным признакам, например по виду, положению в пространстве, способам и средствам защиты, угрозам.